Veröffentlicht am 05.10.2015 | Aktualisiert am 28. April 2016
Wir haben ein Sicherheitsupdate für Nexus-Geräte über ein Over-the-Air-Update (OTA) als Teil unseres monatlichen Veröffentlichungsprozesses für das Android Security Bulletin veröffentlicht. Die Nexus-Firmware-Images wurden auch auf der Google Developer-Site veröffentlicht. Builds LMY48T oder höher (z. B. LMY48W) und Android M mit Sicherheits-Patch-Level vom 1. Oktober 2015 oder höher beheben diese Probleme. Anweisungen zum Überprüfen des Sicherheits-Patch-Levels finden Sie in der Nexus-Dokumentation .
Partner wurden über diese Probleme am 10. September 2015 oder früher benachrichtigt. Quellcode-Patches für diese Probleme wurden im Repository des Android Open Source Project (AOSP) veröffentlicht.
Das schwerwiegendste dieser Probleme ist eine kritische Sicherheitslücke, die die Remotecodeausführung auf einem betroffenen Gerät durch mehrere Methoden wie E-Mail, Webbrowsing und MMS bei der Verarbeitung von Mediendateien ermöglichen könnte. Die Bewertung des Schweregrads basiert auf den Auswirkungen, die das Ausnutzen der Schwachstelle möglicherweise auf ein betroffenes Gerät haben würde, vorausgesetzt, die Plattform- und Dienstmitigationen werden zu Entwicklungszwecken deaktiviert oder erfolgreich umgangen.
Uns liegen keine Berichte über eine aktive Nutzung dieser neu gemeldeten Probleme durch Kunden vor. Einzelheiten zum Schutz der Android-Sicherheitsplattform und zu Dienstschutzmaßnahmen wie SafetyNet , die die Sicherheit der Android-Plattform verbessern, finden Sie im Abschnitt Abschwächungen. Wir empfehlen allen Kunden, diese Updates für ihre Geräte zu akzeptieren.
Abmilderungen
Dies ist eine Zusammenfassung der von der Android-Sicherheitsplattform und Dienstschutzmaßnahmen wie SafetyNet bereitgestellten Risikominderungen. Diese Funktionen verringern die Wahrscheinlichkeit, dass Sicherheitslücken auf Android erfolgreich ausgenutzt werden können.
- Die Nutzung für viele Probleme auf Android wird durch Verbesserungen in neueren Versionen der Android-Plattform erschwert. Wir empfehlen allen Benutzern, nach Möglichkeit auf die neueste Version von Android zu aktualisieren.
- Das Android-Sicherheitsteam überwacht aktiv auf Missbrauch mit Verify Apps und SafetyNet, die vor potenziell schädlichen Anwendungen warnen, die installiert werden sollen. Geräte-Rooting-Tools sind bei Google Play verboten. Um Benutzer zu schützen, die Anwendungen von außerhalb von Google Play installieren, ist „Apps überprüfen“ standardmäßig aktiviert und warnt Benutzer vor bekannten rootenden Anwendungen. Verify Apps versucht, die Installation bekannter bösartiger Anwendungen zu identifizieren und zu blockieren, die eine Schwachstelle bei der Rechteausweitung ausnutzen. Wenn eine solche Anwendung bereits installiert wurde, benachrichtigt Verify Apps den Benutzer und versucht, solche Anwendungen zu entfernen.
- Google hat die Hangouts- und Messenger-Anwendungen entsprechend aktualisiert, sodass Medien nicht automatisch an anfällige Prozesse (z. B. Mediaserver) weitergeleitet werden.
Danksagungen
Wir möchten diesen Forschern für ihre Beiträge danken:
- Brennan Lautner: CVE-2015-3863
- Chiachih Wu und Xuxian Jiang vom C0RE-Team von Qihoo 360: CVE-2015-3868, CVE-2015-3869, CVE-2015-3862
- Yajin Zhou, Lei Wu und Xuxian Jiang vom C0RE-Team von Qihoo 360: CVE-2015-3865
- Daniel Micay (daniel.micay@copperhead.co) bei Copperhead Security: CVE-2015-3875
- dragonltx des Alibaba Mobile Security Teams: CVE-2015-6599
- Ian Beer und Steven Vittitoe von Google Project Zero: CVE-2015-6604
- Joaquín Rinaudo (@xeroxnir) und Iván Arce (@4Dgifts) von Programa STIC bei Fundación Dr. Manuel Sadosky, Buenos Aires Argentinien: CVE-2015-3870
- Josh Drake von Zimperium: CVE-2015-3876, CVE-2015-6602
- Jordan Gruskovnjak von Exodus Intelligence (@jgrusko): CVE-2015-3867
- Peter Pi von Trend Micro: CVE-2015-3872, CVE-2015-3871
- Ping Li von Qihoo 360 Technology Co. Ltd: CVE-2015-3878
- Sieben Shen: CVE-2015-6600, CVE-2015-3847
- Wangtao (Neobyte) vom Baidu X-Team: CVE-2015-6598
- Wish Wu von Trend Micro Inc. (@wish_wu): CVE-2015-3823
- Michael Roland vom JR-Center u'smile an der FH Oberösterreich/ Hagenberg: CVE-2015-6606
Wir möchten auch die Beiträge des Chrome-Sicherheitsteams, des Google-Sicherheitsteams, von Project Zero und anderer Personen bei Google für die Meldung mehrerer in diesem Bulletin behobener Probleme anerkennen.
Details zu Sicherheitslücken
In den folgenden Abschnitten stellen wir Details für jede der Sicherheitsschwachstellen bereit, die für das Patch-Level 2015-10-01 gelten. Es gibt eine Beschreibung des Problems, eine Begründung für den Schweregrad und eine Tabelle mit dem CVE, dem zugehörigen Fehler, dem Schweregrad, den betroffenen Versionen und dem gemeldeten Datum. Wo verfügbar, haben wir die AOSP-Änderung, die das Problem behebt, mit der Fehler-ID verknüpft. Wenn sich mehrere Änderungen auf einen einzelnen Fehler beziehen, werden zusätzliche AOSP-Referenzen mit Nummern nach der Fehler-ID verknüpft.
Schwachstellen bezüglich Remote-Codeausführung in libstagefright
Es gibt Schwachstellen in libstagefright, die es einem Angreifer ermöglichen könnten, während der Mediendatei und der Datenverarbeitung einer speziell gestalteten Datei eine Speicherbeschädigung und Remotecodeausführung im Medienserverdienst zu verursachen.
Diese Probleme werden aufgrund der Möglichkeit der Remotecodeausführung als privilegierter Dienst als Kritisch eingestuft. Die betroffenen Komponenten haben Zugriff auf Audio- und Videostreams sowie Zugriff auf Berechtigungen, auf die Anwendungen von Drittanbietern normalerweise nicht zugreifen können.
| CVE | Bug(s) mit AOSP-Links | Schwere | Betroffene Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2015-3873 | ANDROID-20674086 [ 2 , 3 , 4 ] | Kritisch | 5.1 und darunter | Google-intern |
| ANDROID-20674674 [ 2 , 3 , 4 ] | ||||
| ANDROID-20718524 | ||||
| ANDROID-21048776 | ||||
| ANDROID-21443020 | ||||
| ANDROID-21814993 | ||||
| ANDROID-22008959 | ||||
| ANDROID-22077698 | ||||
| ANDROID-22388975 | ||||
| ANDROID-22845824 | ||||
| ANDROID-23016072 | ||||
| ANDROID-23247055 | ||||
| ANDROID-23248776 | ||||
| ANDROID-20721050 | Kritisch | 5.0 und 5.1 | Google-intern | |
| CVE-2015-3823 | ANDROID-21335999 | Kritisch | 5.1 und darunter | 20. Mai 2015 |
| CVE-2015-6600 | ANDROID-22882938 | Kritisch | 5.1 und darunter | 31. Juli 2015 |
| CVE-2015-6601 | ANDROID-22935234 | Kritisch | 5.1 und darunter | 3. August 2015 |
| CVE-2015-3869 | ANDROID-23036083 | Kritisch | 5.1 und darunter | 4. August 2015 |
| CVE-2015-3870 | ANDROID-22771132 | Kritisch | 5.1 und darunter | 5. August 2015 |
| CVE-2015-3871 | ANDROID-23031033 | Kritisch | 5.1 und darunter | 6. August 2015 |
| CVE-2015-3868 | ANDROID-23270724 | Kritisch | 5.1 und darunter | 6. August 2015 |
| CVE-2015-6604 | ANDROID-23129786 | Kritisch | 5.1 und darunter | 11. August 2015 |
| CVE-2015-3867 | ANDROID-23213430 | Kritisch | 5.1 und darunter | 14. August 2015 |
| CVE-2015-6603 | ANDROID-23227354 | Kritisch | 5.1 und darunter | 15. August 2015 |
| CVE-2015-3876 | ANDROID-23285192 | Kritisch | 5.1 und darunter | 15. August 2015 |
| CVE-2015-6598 | ANDROID-23306638 | Kritisch | 5.1 und darunter | 18. August 2015 |
| CVE-2015-3872 | ANDROID-23346388 | Kritisch | 5.1 und darunter | 19. August 2015 |
| CVE-2015-6599 | ANDROID-23416608 | Kritisch | 5.1 und darunter | 21. August 2015 |
Sicherheitslücken bei Remotecodeausführung in Sonivox
Es gibt Sicherheitslücken in Sonivox, die es einem Angreifer ermöglichen könnten, während der Mediendateiverarbeitung einer speziell gestalteten Datei eine Speicherbeschädigung und Remotecodeausführung im Medienserverdienst zu verursachen. Dieses Problem wird aufgrund der Möglichkeit der Remotecodeausführung als privilegierter Dienst als kritischer Schweregrad eingestuft. Die betroffene Komponente hat Zugriff auf Audio- und Videostreams sowie Zugriff auf Berechtigungen, auf die Anwendungen von Drittanbietern normalerweise nicht zugreifen können.
| CVE | Bug(s) mit AOSP-Links | Schwere | Betroffene Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2015-3874 | ANDROID-23335715 | Kritisch | 5.1 und darunter | Mehrere |
| ANDROID-23307276 [ 2 ] | ||||
| ANDROID-23286323 |
Sicherheitslücken bezüglich Remotecodeausführung in libutils
Schwachstellen in libutils, einer generischen Bibliothek, existieren in der Verarbeitung von Audiodateien. Diese Sicherheitsanfälligkeiten können einem Angreifer ermöglichen, während der Verarbeitung einer speziell gestalteten Datei in einem Dienst, der diese Bibliothek verwendet, wie z. B. Mediaserver, eine Speicherbeschädigung und Remotecodeausführung zu verursachen.
Die betroffene Funktionalität wird als Anwendungs-API bereitgestellt, und es gibt mehrere Anwendungen, die es ermöglichen, sie mit Remote-Inhalten zu erreichen, insbesondere MMS und Browser-Wiedergabe von Medien. Dieses Problem wird aufgrund der Möglichkeit der Remotecodeausführung in einem privilegierten Dienst als Kritisch eingestuft. Die betroffene Komponente hat Zugriff auf Audio- und Videostreams sowie Zugriff auf Berechtigungen, auf die Apps von Drittanbietern normalerweise nicht zugreifen können.
| CVE | Bug(s) mit AOSP-Links | Schwere | Betroffene Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2015-3875 | ANDROID-22952485 | Kritisch | 5.1 und darunter | 15. August 2015 |
| CVE-2015-6602 | ANDROID-23290056 [ 2 ] | Kritisch | 5.1 und darunter | 15. August 2015 |
Schwachstelle bezüglich Remotecodeausführung in Skia
Eine Schwachstelle in der Skia-Komponente kann ausgenutzt werden, wenn eine speziell gestaltete Mediendatei verarbeitet wird, die zu einer Speicherbeschädigung und Remotecodeausführung in einem privilegierten Prozess führen kann. Dieses Problem wird aufgrund der Möglichkeit der Remotecodeausführung durch mehrere Angriffsmethoden wie E-Mail, Webbrowsing und MMS bei der Verarbeitung von Mediendateien als kritischer Schweregrad eingestuft.
| CVE | Bug(s) mit AOSP-Links | Schwere | Betroffene Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2015-3877 | ANDROID-20723696 | Kritisch | 5.1 und darunter | 30. Juli 2015 |
Sicherheitslücken bezüglich Remotecodeausführung in libFLAC
Eine Schwachstelle in libFLAC existiert in der Verarbeitung von Mediendateien. Diese Sicherheitsanfälligkeiten können einem Angreifer ermöglichen, während der Verarbeitung einer speziell gestalteten Datei eine Speicherbeschädigung und Remotecodeausführung zu verursachen.
Die betroffene Funktionalität wird als Anwendungs-API bereitgestellt, und es gibt mehrere Anwendungen, mit denen sie mit Remote-Inhalten erreicht werden kann, z. B. Browser-Wiedergabe von Medien. Dieses Problem wird aufgrund der Möglichkeit der Remotecodeausführung in einem privilegierten Dienst als Kritisch eingestuft. Die betroffene Komponente hat Zugriff auf Audio- und Videostreams sowie Zugriff auf Berechtigungen, auf die Apps von Drittanbietern normalerweise nicht zugreifen können.
| CVE | Bug(s) mit AOSP-Links | Schwere | Betroffene Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2014-9028 | ANDROID-18872897 [ 2 ] | Kritisch | 5.1 und darunter | 14. November 2014 |
Sicherheitsanfälligkeit bezüglich Erhöhung von Berechtigungen in KeyStore
Eine Schwachstelle bezüglich Rechteerweiterungen in der KeyStore-Komponente kann von einer böswilligen Anwendung beim Aufrufen der KeyStore-APIs ausgenutzt werden. Diese Anwendung kann im Zusammenhang mit KeyStore Speicherbeschädigungen und die Ausführung willkürlichen Codes verursachen. Dieses Problem wird als hoher Schweregrad eingestuft, da es für den Zugriff auf Berechtigungen verwendet werden kann, auf die eine Anwendung eines Drittanbieters nicht direkt zugreifen kann.
| CVE | Bug(s) mit AOSP-Links | Schwere | Betroffene Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2015-3863 | ANDROID-22802399 | Hoch | 5.1 und darunter | 28. Juli 2015 |
Sicherheitsanfälligkeit bezüglich Erhöhung von Berechtigungen im Media Player Framework
Eine Schwachstelle bezüglich Rechteerweiterungen in der Komponente des Mediaplayer-Frameworks könnte es einer böswilligen Anwendung ermöglichen, beliebigen Code im Kontext von mediaserver auszuführen. Dieses Problem wird mit dem Schweregrad „Hoch“ bewertet, da es einer böswilligen Anwendung den Zugriff auf Berechtigungen ermöglicht, auf die eine Anwendung eines Drittanbieters nicht zugreifen kann.
| CVE | Bug(s) mit AOSP-Links | Schwere | Betroffene Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2015-3879 | ANDROID-23223325 [2]* | Hoch | 5.1 und darunter | 14. August 2015 |
* Eine zweite Änderung für dieses Problem gibt es nicht in AOSP. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
Sicherheitsanfälligkeit bezüglich Erhöhung von Berechtigungen in der Android-Laufzeit
Eine Schwachstelle bezüglich Rechteerweiterungen in der Android-Laufzeit kann es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext einer Systemanwendung mit erhöhten Rechten auszuführen. Dieses Problem wird als hoher Schweregrad eingestuft, da es verwendet werden kann, um erweiterte Funktionen wie Signatur- oder SignatureOrSystem -Berechtigungsrechte zu erhalten, auf die eine Drittanbieteranwendung nicht zugreifen kann.
| CVE | Bug(s) mit AOSP-Links | Schwere | Betroffene Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2015-3865 | ANDROID-23050463 [ 2 ] | Hoch | 5.1 und darunter | 8. August 2015 |
Elevation of Privilege-Schwachstellen in Mediaserver
Es gibt mehrere Schwachstellen in Mediaserver, die es einer lokalen bösartigen Anwendung ermöglichen können, beliebigen Code im Kontext eines privilegierten nativen Dienstes auszuführen. Dieses Problem wird als hoher Schweregrad eingestuft, da es für den Zugriff auf Berechtigungen verwendet werden kann, auf die eine Drittanbieteranwendung nicht direkt zugreifen kann.
| CVE | Bug(s) mit AOSP-Links | Schwere | Betroffene Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2015-6596 | ANDROID-20731946 | Hoch | 5.1 und darunter | Mehrere |
| ANDROID-20719651* | ||||
| ANDROID-19573085 | Hoch | 5,0 - 6,0 | Google-intern |
* Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
Elevation of Privilege-Schwachstelle im Secure Element Evaluation Kit
Eine Schwachstelle im Plugin SEEK (Secure Element Evaluation Kit, auch bekannt als SmartCard API) könnte es einer Anwendung ermöglichen, erhöhte Berechtigungen zu erhalten, ohne sie anzufordern. Dieses Problem wird als hoher Schweregrad eingestuft, da es verwendet werden kann, um erweiterte Funktionen wie Signatur- oder SignatureOrSystem -Berechtigungsrechte zu erhalten, auf die Anwendungen von Drittanbietern nicht zugreifen können.
| CVE | Bug(s) mit AOSP-Links | Schwere | Betroffene Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2015-6606 | ANDROID-22301786* | Hoch | 5.1 und darunter | 30. Juni 2015 |
* Das Upgrade, das dieses Problem behebt, befindet sich auf der SEEK for Android-Site .
Elevation of Privilege Vulnerability in Media Projection
Eine Schwachstelle in der Media Projection-Komponente kann es ermöglichen, Benutzerdaten in Form von Bildschirm-Schnappschüssen offenzulegen. Das Problem ist darauf zurückzuführen, dass das Betriebssystem übermäßig lange Anwendungsnamen zulässt. Die Verwendung dieser langen Namen durch eine lokale bösartige Anwendung kann verhindern, dass eine Warnung zur Bildschirmaufzeichnung für den Benutzer sichtbar ist. Dieses Problem wird als mittlerer Schweregrad eingestuft, da es verwendet werden kann, um erhöhte Berechtigungen zu erlangen.
| CVE | Bug(s) mit AOSP-Links | Schwere | Betroffene Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2015-3878 | ANDROID-23345192 | Mäßig | 5,0 - 6,0 | 18. August 2015 |
Elevation of Privilege-Schwachstelle in Bluetooth
Eine Schwachstelle in der Bluetooth-Komponente von Android könnte es einer Anwendung ermöglichen, gespeicherte SMS-Nachrichten zu löschen. Dieses Problem wird als mittlerer Schweregrad eingestuft, da es verwendet werden kann, um erhöhte Berechtigungen zu erlangen.
| CVE | Bug(s) mit AOSP-Links | Schwere | Betroffene Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2015-3847 | ANDROID-22343270 | Mäßig | 5.1 und darunter | 8. Juli 2015 |
Elevation of Privilege-Schwachstellen in SQLite
In der SQLite-Parsing-Engine wurden mehrere Sicherheitslücken entdeckt. Diese Schwachstellen können von einer lokalen Anwendung ausgenutzt werden, die eine andere Anwendung oder einen anderen Dienst veranlassen kann, willkürliche SQL-Abfragen auszuführen. Eine erfolgreiche Ausnutzung könnte zur Ausführung willkürlichen Codes im Kontext der Zielanwendung führen.
Am 8. April 2015 wurde ein Fix auf den AOSP-Master hochgeladen, der die SQLite-Version auf 3.8.9 aktualisiert: https://android-review.googlesource.com/#/c/145961/
Dieses Bulletin enthält Patches für die SQLite-Versionen in Android 4.4 (SQLite 3.7.11) und Android 5.0 und 5.1 (SQLite 3.8.6).
| CVE | Bug(s) mit AOSP-Links | Schwere | Betroffene Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2015-6607 | ANDROID-20099586 | Mäßig | 5.1 und darunter | 7. April 2015 Öffentlich bekannt |
Denial-of-Service-Schwachstellen in Mediaserver
Es gibt mehrere Sicherheitslücken im Mediaserver, die einen Denial of Service verursachen können, indem sie den Mediaserver-Prozess zum Absturz bringen. Diese Probleme werden als Niedriger Schweregrad eingestuft, da der Effekt durch einen Absturz des Medienservers auftritt, der zu einer lokalen vorübergehenden Dienstverweigerung führt.
| CVE | Bug(s) mit AOSP-Links | Schwere | Betroffene Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2015-6605 | ANDROID-20915134 | Niedrig | 5.1 und darunter | Google-intern |
| ANDROID-23142203 | ||||
| ANDROID-22278703 | Niedrig | 5,0 - 6,0 | Google-intern | |
| CVE-2015-3862 | ANDROID-22954006 | Niedrig | 5.1 und darunter | 2. August 2015 |
Revisionen
- 05. Oktober 2015: Bulletin veröffentlicht.
- 7. Oktober 2015: Bulletin mit AOSP-Referenzen aktualisiert. Die Fehlerreferenzen für CVE-2014-9028 wurden geklärt.
- 12. Oktober 2015: Aktualisierte Bestätigungen für CVE-2015-3868, CVE-2015-3869, CVE-2015-3865, CVE-2015-3862.
- 22. Januar 2016: Aktualisierte Danksagungen für CVE-2015-6606.
- 28. April 2016: CVE-2015-6603 hinzugefügt und Tippfehler mit CVE-2014-9028 korrigiert.